Názory k článku
Krádež relace na Seznam.cz: postup získání neomezeného přístupu k e-mailu
-
KateStříbrný podporovatelS tou odměnou se Seznam u zranitelností takové závažnosti moc nepředvedl.
-
Josef MarianekBronzový podporovatel
Za 20MD 35 000 Kč to mame 1750Kc/MD tj. 218Kc/h.
Takovy lidi jako je tenhle by meli platit zlatem. Dodal jim co je spatne a oni to podle toho samozrejme obratem opravili (skoro vsechno). Podle me by si zaslouzil tak aspon 3nasobek. -
pěkně popsané, ty weby jsou past vedle pasti. Přitom je vidět, že snadno testovatelné bezpečnostní závory nemají správně implementované, stejně tak jde vidět, že chybí nějaká proaktivní aktivita na jejich straně, měly tady měsíce probíhající útok, kdy útočník používal úspěšně XSS a nic.
Jen škoda, že odměny nevyplácí vždycky a ne vždy jsou takhle ochotní a slušní. Po vyhrožování trestním oznámením (rok 2021) už nemám moc chudí jim ty věci hlásit.
-
Dalo by se rict .. "a co bys chtel, zadarmo".
Pricemz utoky tohodle typu se daji usporadat prakticky na cokoli, staci ty moresy, ze se polovina obsahu stahuje ze vsemoznych horoucich pekel, a ani sam provozovatel vlastne netusi, co to dela.
Trestni oznameni bys mel spis podavat ty na ne, oni jsou povini data chranit, ne ty.
-
a to je špatně, že nemáš díky komplexnosti přehled a byl bych rád, kdyby se to zase navrátilo k zjednodušování než opačně.
No, white hat hacker balancuje na hraně kriminálu, aby něco vyzkoumal, musí cíleně se snažit narušit bezpečnost cílového systému a to může být trestní čin. Paralela z reálného světa je, když se budeš snažit někam vloupat, abys ukázal, že mají nízkej plot a hlídač chodí moc předvídatelně, to nemůžeš, zatkou tě za vloupání.
Jediná možnost jak to dělat legálně u nás je mít smlouvu/svolení daného subjektu, že můžeš zkoumat jeho bezpečnost. Dělat to ve volném čase je na hranici trestného činu. Pokud to ale člověk dělá jako koníček, je těžké získávat souhlasy nebo dokonce smlouvy, pak tam je určité očekávání, report, časový rámec a už to není ten koníček, ale práce.
-
měsíce sledování nějakého webu, registrace, testování persistentních XSS, debugování api a hledání smítka nesrovnalosti přece nelze srovnat s tím, že jdeš kolem auta a zkusíš šáhnout na kliku a na základě toho udělat spor.
Penetrační testování na cizím systému bez svolení v ČR může být opravdu postihnuto. Nebo myslíš, že majiteli auta dokážeš rozumně vysvětlit, že ho nejdeš vykrást, ale pomoc mu, když ně u něho nachytá jak jsi právě otevřel dveře?
-
Tady nekdo vubec netusi ze? Ja nic vysvetlovat nemusim, vysvetlovat bude naopak majitel toho auta.
Tohle je exaktne totez. Nemluve o tom, ze jsou tu zakone povinosti prave provozovatelu takovych sytemu(a majitelu tech aut), a zadny je nedodrzuje, takze bych chtel videt, jak si bude vyskakovat.
Na odhaleni zasadnich bezpecnostnich pruseru staci prevazne tak 10 minut. Dokonce k tomu v mnoha pripadech nepotrebuju vubec komunikovat se systemy protistrany ze? Staci kdyz vygrepuju logy svych serveru, a pokocham se treba tim, kdo pouziva tls 1.0. A ze takovych je ... Pricemz s pravdepodobnosti atakujici 100% tohle neni zdaleka jedinej nedostatek. Je to spis indikator toho, ze na to protistrana zvysoka kasle (a mimo jine tim porusuje zakony ze?).
-
jakých deset minut? Viz i tahle zprávička, Marek Tóth s tím strávil měsíce. Penetrační testy přece nejsou jen o tom, že se podívám na metadata, najdu starý zranitelný verze a mám vyhráno. To co tada Marek dělal a popsal na svém blogu je přesně situace, která hraniční s trestným činem, pokud k tomu nemám svolení.
To, že většina provozovatelů je za takovéhle hlášení ráda a ještě tě obmění nic nemění na tom, že tě klidně mohou udat na policii, což někteří strašně rádi dělají a pak s tím je dost oplétaček, zbytečně. Naše zákony ale na white hat hackery nemyslí.
-
Zákonem je zakázáno i neoprávněné užití cizí věci - jde o přestupek dle § 8 zákona č. 251/2016 Sb. (v případě výše probíraného dobývání se do auta může jít i o trestný čin dle § 207 trestního zákoníku, kde je specificky uveden případ motorového vozidla).
Samozřejmě vždycky jde o to, zda se proti tomu někdo bude bránit u soudu a jaký měl dotyčný úmysly.
Mě spíš fascinuje, že ve většině diskuzí se tady každý ohání nedotknutelností soukromého majetku, ale šťourání se v cizím (taky soukromém) je evidentně v pořádku a když se někam cíleně vlámou, tak je to najednou chyba majitele. Pokrytectví v přímém přenosu.
-
To ze ma auto otevrene dvere (a nemate teda zapnuty autolock) neznamena ze neni zajistene proti tomu aby ho neopravnene nemohla uzit jina osoba.
U nekterych modernich aut nepohnete ani rucni brzdou bez vylomenin zahrnujici hledani mechanickeho override nebo utrzeni mechanismu. Nehlede na to ze pokud nemate veterana nebo parodii na moderni auto, tak vam treba nebude fungovat ani prevodovka vcetne zbytku elektroniky. Takove auto je zajistene relativne bezpecne vzhledem k situaci. Nemusi uz to vsak byt z pohledu pojistovny (coz neni obsahem toho prispevku).
Pokud prokazete ze auta ma takove mechanismy je to ve spravnim rizeni rozsekatelne.
A potom ani pokud auto neni zajistene nyni neznamena ze majitel auto nezajistil predtim nez ho opustil. Uvolnit zamek dveri mohl zlodej pred nim pokud mate papir od policie ze doslo mezitim k vloupani.
Dalsi vylozene blbe pripady vznikaji kdyz si sednete na klicky nebo nekam natece do ridici jednotky a zamky se zamykaji/odemykaji samy jak z hororu ;-)
-
KateStříbrný podporovatel
Jako v té části článku jsem si říkala že když už to nenahlásí okamžitě, bylo by fajn aspoň napsat skript který pravidelně otestuje jestli to už někdo nezneužívá a pokud ano, nahlásit to dřív.
-
Filip JirsákStříbrný podporovatelI to by bylo dost ošemetné – dovedu si představit, že pokud by to chtěl někdo použít na cílený útok, nějaký skript to vůbec nezachytí. Vložil by ten odkaz třeba do nějakého inzerátu v nějaké obskurní kategorii někde za rohem – a ten skript aby nestahoval všechny stránky všech služeb Seznamu, aby zjistil, zda to někde není zneužité.
Chápu, že na hlášení „vypisují se vám cookies do stránky“ by Seznam nemusel reagovat tak rychle, jako na „jde unést relaci“.
Až teď mne napadlo (a nechci tím nic podsouvat autorovi, píšu to, protože je to možná důležité obecně), že současné pojetí bug bounty programů vlastně nahrává tomu nechávat si méně závažné chyby pro sebe. Z hlediska výdělku je lepší počkat, až jich neshromáždím víc a dokážu je propojit do jedné závažnější chyby, za kterou pak dostanu (větší) odměnu.
-
to je vlastně dobře, aspoň funguje nějaká samoregulace. Řada lidí si založila živnost na tom, že hlásí banalitní pochybení z automatizovaných nástrojů a čekají (teda spíše vyžadují) za to odměnu.
O bezpečnost se mají starat zaměstnanci a smluvní partneři a ne extrerní nezávislé subjekty, to je podle mě jen dočasná anomálie.
-
Filip JirsákStříbrný podporovatel
To, že se dnes jako „bezpečnostní problém“ hlásí kdejaká hloupost, to je pravda. A nepřipadá mi, že by v tom nějaká samoregulace fungovala – ti lidé to hlásí i jen jen kvůli tomu, aby se mohli chlubit, že to nahlásili (ne nadarmo se CVE někdy vykládá jako „Curriculum vitæ enhancement“). Každopádně mně nešlo o to odměňovat i banality, ale o to, že by dávalo smysl odměňovat vážné nálezy i tehdy, když je někdo nahlásí postupně po částech.
Co se týče druhého odstavce, to je myslím nepochopení situace. Bezpečnost je samozřejmě věcí vlastníka/provozovatele. Ale nikdo není bezchybný, snad ve všech oborech lidské činnosti platí, že na chybu může přijít i někdo z venku – a je dobré, že v IT alespoň částečně funguje kultura, že za poctivé nahlášení chyby se děkuje a ne že se ta chyba snaží ututlat a nálezce potrestat.
-
vážné nálezy jsou ale dnes spíše kombinací více chyb, stejně tak se k těm vážným dostaneš až opět přes jiné chyba, viz i tahle zprávička. Kdyby to nahlásil rovnou a oni to opravili, tak těch závažných si nemusí teď všimnout.
Trávit měsíce zkoumáním cizího systému vypadá spíše jako obchodní model než bohulibá činnost, tady je vždy lepší mít nějaký smluvní rámec. To není tak, že potkáš jako kolemdoucí chybu a ze slušnosti jí nahlásíš.
Etický hacker, je pořád hacker (rozdíl je jen v závěru) a pokud nachytáš někoho jak měsíce připravuje průnik do tvého systému, jak odlišíš v téhle fázi, jestli jeho úmysly byly čisté nebo ne? Dneska nám to možná zní směšně, ale čím více se bezpečnost bude brát vážně, tím více může taková bohulibá snaha být nežádoucí až problematická.
-
Filip JirsákStříbrný podporovatel
Právě proto, že jsou vážné nálezy kombinací více chyb, dávalo by smysl motivovat i k hlášení samostatných menších chyb, které se v budoucnu ukážou jako součást větší chyby. Z popisu v odkazovaném příspěvku jasně plyne, že kvůli současnému systému existoval v systémech Seznamu vážný problém o několik měsíců déle, přestože někdo věděl o části toho problému – a oprava této části by celou zranitelnost zalepila.
Někteří lidé tráví měsíce psaním kódu do opensource projektů, jiní ho mohou trávit hledáním bezpečnostních chyb v cizích systémech. Ani v jednom případě to nemusí být obchodní model.
Kdyby to bylo tak, jak popisuju – tedy že by hacker první nalezenou chybu nahlásil hned, jak ji zjistí, bylo by to odlišení dobrých a zlých úmyslů snadné. Tvrdím, že současné bug bounty programy nejsou nastavené ideálně, protože motivují k tomu tajit méně závažné chyby a schovávat si je na dobu, kdy je dokážu pospojovat do závažnější chyby. Přičemž bug bounty programy mají právě opačný cíl – aby se provozovatel o chybě dozvěděl co nejdřív a mohl ji co nejdřív opravit.
Nemyslím si, že by bug bounty programy naopak neměly žádný smysl. Drtivá většina bezpečnostních chyb se najde interně. Ale z bug bounty programů jsou vypláceny odměny, což znamená, že jsou opravovány chyby, které by jinak zůstaly neopravené delší doba a byla by větší pravděpodobnost, že je někdo zneužije.
-
KateStříbrný podporovatel
Tak zneužitelný vektor našel v inzerátech a uživatelských jménech, to by neměl být zas takový problém procrawlovat.
22. 7. 2023, 09:09 editováno autorem komentáře
ČLÁNKY DO MAILU